驱动绕过360的KiFastCallEntry钩子

显示全部楼层 · 发表于 2013-9-3 12:03:05

一年前的老帖子了，而且毫无价值

显示全部楼层 · 发表于 2013-9-3 12:03:35

liangfangCN 发表于 2013-9-3 11:59
现在流行无行为。
无行为的木马什么安全软件都无法防御0.0
无行为就是什么都不干,就是开个后门而已。

小孩又出来胡扯了，后门本身就是行为。

显示全部楼层 · 发表于 2013-9-3 13:47:42

22667999 发表于 2013-9-3 10:05
@zouguan508 @360主动防御

对了，我为什么@ 走光。。。

难道是你想我了

显示全部楼层 · 发表于 2013-9-4 10:10:11

liangfangCN 发表于 2013-9-3 11:59
现在流行无行为。
无行为的木马什么安全软件都无法防御0.0
无行为就是什么都不干,就是开个后门而已。

后门怎么开? 反弹? 监听?
后门总需要常驻吧? 启动项? 驱动? 替换系统文件?

这些本身就是很大的行为了

显示全部楼层 · 发表于 2013-9-4 10:49:17

zhq445078388 发表于 2013-9-4 10:10
后门怎么开? 反弹? 监听?
后门总需要常驻吧? 启动项? 驱动? 替换系统文件?

类似CARBERP/ROVNIX的，感染引导扇区启动，从扇区加载到内存，然后重定向加载，无启动项，无驱动，无替换文件，内存挂钩NDIS，实现自己的内核TCPIP，无视防火墙。一般不太好检测。

显示全部楼层 · 发表于 2013-9-4 12:46:12

wowocock 发表于 2013-9-4 10:49
类似CARBERP/ROVNIX的，感染引导扇区启动，从扇区加载到内存，然后重定向加载，无启动项，无驱动，无替换 ...

关键是怎么无提示感染引导区。如果单说难以清除，TDSS之类也已经很变态了。

显示全部楼层 · 发表于 2013-9-4 13:39:23

wowocock 发表于 2013-9-4 10:49
类似CARBERP/ROVNIX的，感染引导扇区启动，从扇区加载到内存，然后重定向加载，无启动项，无驱动，无替换 ...

内存挂钩NDIS，实现自己的内核TCPIP

各种汗了...我该说..这么猥琐的办法是谁想到的啊.

显示全部楼层 · 发表于 2013-9-4 14:18:55

jefffire 发表于 2013-9-4 12:46
关键是怎么无提示感染引导区。如果单说难以清除，TDSS之类也已经很变态了。

各种利用。不过急救箱内带的顽固引导木马专杀，已经可以查杀32位版本的CARBERP/ROVNIX,不过需要下载论坛的急救箱压缩包里的版本。

[分享] 驱动绕过360的KiFastCallEntry钩子